网络访问保护是NAP 策略为客户端计算机的操作系统和关键软件定义所需的配置和更新状态。例如,可能要求
计算机安装具有最新签名的防病毒软件,安装当前操作系统的更新并且启用基于主机的
防火墙。通过强制符合健康要求,NAP 可以帮助网络管理员降低因客户端计算机配置不当所导致的一些风险,这些不当配置可使计算机暴露给病毒和其他恶意软件。
基本简介
网络访问保护 (NAP) 是 Windows Server® 2008 和 Windows Vista® 操作系统附带的一组新的操作系统组件,它提供一个平台以帮助确保专用网络上的客户端计算机符合管理员定义的系统健康要求。NAP 策略为客户端计算机的操作系统和关键软件定义所需的配置和更新状态。例如,可能要求计算机安装具有最新签名的防病毒软件,安装当前操作系统的更新并且启用基于
主机的
防火墙。通过强制符合健康要求,NAP 可以帮助
网络管理员降低因客户端计算机配置不当所导致的一些风险,这些不当配置可使计算机暴露给病毒和其他恶意软件。如图1所示
使用用途
当客户端计算机尝试连接网络或在网络上通信时,NAP 通过监视和评估客户端计算机的健康状况来强制实施健康要求。如果确定客户端计算机不符合健康要求,则可以将其置于包含资源的受限网络上,以帮助更新客户端系统使其符合健康策略。
适用人群
希望对连接到他们所支持网络的客户端计算机强制实施系统健康要求的网络和
系统管理员会对 NAP 感兴趣。借助 NAP,
网络管理员可以:
确保局域网 (LAN) 上针对 DHCP 进行配置、通过 802.1X
身份验证设备连接或对其通信应用 NAP Internet 协议安全性 (IPSec) 策略的台式计算机的健康。
当漫游便携机重新连接到企业网络时,对其强制实施健康要求。
验证通过运行路由和
远程访问的
虚拟专用网络 (VPN) 服务器连接到企业网络的非托管家用计算机是否健康并符合策略要求。
确定由访问者和合作伙伴带到组织的便携机的健康状况并限制对它的访问。
根据需要,管理员可以配置一个解决方案来解决以上任何或全部方案的问题。
NAP 还包含一个
应用程序编程接口 (API) 集,开发人员和供应商使用它来针对网络策略验证、即时符合和网络隔离构建自己的组件。
注意事项
NAP 部署要求服务器运行 Windows Server 2008。
此外,还要求客户端计算机运行 Windows Vista、Windows Server 2008 或带有 Service Pack 3 (SP3) 的 Windows XP。
执行 NAP 的健康确定分析的中心服务器是运行 Windows Server 2008 和网络策略服务器 (NPS) 的计算机。NPS 是远程
身份验证拨入用户服务 (RADIUS) 服务器和代理的 Windows 实现。NPS 将取代 Windows Server 2003 操作系统中的 Internet 身份验证服务 (IAS)。访问设备和 NAP 服务器充当基于 NPS 的 RADIUS 服务器的 RADIUS 客户端。
NPS 根据配置的系统健康策略对网络连接尝试执行身份验证和授权,确定是否符合计算机健康要求,以及如何限制不符合要求的计算机的网络访问。
重要功能
NAP 平台是 Windows Server 2008 和 Windows Vista 操作系统附带的一种新的客户端健康验证和强制技术。
为什么此功能非常重要?
当今企业面临的最大挑战之一就是客户端设备越来越多地暴露给诸如病毒和蠕虫等恶意软件。这些程序可以进入未受保护或配置不当的
主机系统,并且可以使用该系统作为暂存点以传播到企业网络上的其他设备。
网络管理员可以使用 NAP 平台保护他们的网络,方法是确保客户端系统保持正确的系统配置和软件更新,以帮助它们免受恶意软件的攻击。
主要进程
若要使 NAP 正常工作,需要以下几个主要进程:策略验证、NAP 强制和网络限制、更新以及确保符合的即时监视。
策略验证NPS 使用系统健康验证程序 (SHV) 分析客户端计算机的健康状态。SHV 已被合并到根据客户端健康状态确定所要采取的操作(如授予完全网络访问权限或限制网络访问)的网络策略中。由称为系统健康代理 (SHA) 的客户端 NAP 组件监视健康状态。NAP 使用 SHA 和 SHV 来监视、强制实施和更新客户端计算机配置。
Windows Server 2008 和 Windows Vista 操作系统附带 Windows 安全健康代理和 Windows 安全健康验证程序,它们对支持 NAP 的计算机强制实施以下设置:
客户端计算机已安装并且正在运行防病毒软件。
客户端计算机已安装最新的防病毒更新。
已在客户端计算机上启用 Microsoft(R) Update Services。
此外,如果支持 NAP 的客户端计算机正在运行 Windows Update 代理并且已注册 Windows Server Update Service (WSUS) 服务器,则 NAP 可以验证是否基于与 Microsoft 安全响应中心 (MSRC) 中的安全严重等级匹配的四个可能的值中的一个值安装最新的软件安全更新。
NAP 强制和网络限制可以将 NAP 配置为拒绝不符合要求的客户端计算机访问网络或只允许它们访问受限网络。受限网络应包含主要 NAP 服务,如健康注册机构 (HRA) 服务器和更新服务器,以便不符合要求的 NAP 客户端可以更新其配置以符合健康要求。
NAP 强制设置允许您限制不符合要求的客户端的网络访问,或者仅观察和记录支持 NAP 的客户端计算机的健康状态。
您可以使用以下设置选择限制访问、推迟访问限制或允许访问:
“允许完全网络访问”。这是默认设置。认为与策略条件匹配的客户端符合网络健康要求,并授予这些客户端对网络的无限制的访问权限(如果连接请求经过
身份验证和授权)。记录支持 NAP 的客户端计算机的健康符合状态。
“允许有限时间内的完全网络访问”。临时授予与策略条件匹配的客户端无限制的访问权限。将 NAP 强制延迟到指定的日期和时间。
“允许有限的访问”。认为与策略条件匹配的客户端计算机不符合网络健康要求,并将其置于受限网络上。
更新置于受限网络上的不符合要求的客户端计算机可能需要进行更新。更新是更新客户端计算机以使其符合当前的健康要求的过程。例如,受限网络可能包含
文件传输协议 (FTP) 服务器,该服务器提供当前的病毒签名,以便不符合要求的客户端计算机可以更新其过期的签名。
可以使用 NPS 网络策略中的 NAP 设置来自动更新,以便在客户端计算机不符合网络健康要求时,NAP 客户端组件自动尝试更新该客户端计算机。可以使用以下网络策略设置配置自动更新:
“自动更新”。如果选中“启用客户端计算机的自动更新”,则会启用自动更新,不符合健康要求的支持 NAP 的计算机即会自动尝试对自身进行更新。
确保符合的即时监视NAP 可以在已连接到网络的符合要求的客户端计算机上强制执行健康符合。该功能对于确保在健康策略更改以及客户端计算机的健康更改时即时保护网络非常有用。例如,如果健康策略要求启用 Windows
防火墙,但用户无意中禁用了 Windows 防火墙,则 NAP 可以确定客户端计算机处于不符合要求的状态。然后,NAP 会将该客户端计算机置于受限网络上,直到重新启用 Windows 防火墙为止。
如果启用了自动更新,则 NAP 客户端组件可以自动启用 Windows 防火墙,而无需用户干预。
强制方法
根据客户端计算机的健康状况,NAP 可以允许完全网络访问、仅限于对受限网络进行访问或者拒绝对网络进行访问。还可以自动更新确定为不符合健康策略的客户端计算机,以使其符合这些要求。强制实施 NAP 的方式因您选择的强制方法而异。NAP 对以下内容强制实施健康策略:
受 IPSec 保护的通信
动态主机配置协议 (DHCP) IPv4 地址租用和续订
以下部分介绍这些强制方法。
IPSec 通信的 NAP 强制受 IPSec 保护的通信的 NAP 强制通过健康证书服务器、HRA 服务器、NPS 服务器以及 IPSec 强制客户端进行部署。在确定 NAP 客户端符合网络健康要求后,健康证书服务器会向 NAP 客户端颁发 X.509 证书。然后,当 NAP 客户端启动与 Intranet 上的其他 NAP 客户端的受 IPSec 保护的通信时,会使用这些证书对 NAP 客户端进行
身份验证。
IPSec 强制将网络上的通信限制于符合要求的客户端,并提供最强大的 NAP 强制形式。由于该强制方法使用 IPSec,您可以逐个 IP 地址或逐个 TCP/UDP
端口号地定义受保护通信的要求。
802.1X 的 NAP 强制基于 802.1X 端口的网络
访问控制的 NAP 强制通过 NPS 服务器和 EAPHost 强制客户端组件进行部署。借助基于 802.1X 端口的强制,NPS 服务器将指导 802.1X
身份验证交换机或符合 802.1X 的无线访问点将不符合要求的 802.1X 客户端置于受限网络上。NPS 服务器通过指导访问点将 IP 筛选器或虚拟 LAN 标识符应用于连接,将客户端的网络访问局限于受限网络。802.1X 强制为通过支持 802.1X 的网络访问设备访问网络的所有计算机提供强有力的网络限制。
VPN 的 NAP 强制VPN 的 NAP 强制使用 VPN 强制服务器组件和 VPN 强制客户端组件进行部署。使用 VPN 的 NAP 强制,VPN 服务器可以在客户端计算机尝试使用
远程访问 VPN 连接来连接网络时强制实施健康策略。VPN 强制为通过远程访问 VPN 连接访问网络的所有计算机提供强有力的受限网络访问。
DHCP 的 NAP 强制DHCP 强制通过 DHCP NAP 强制服务器组件、DHCP 强制客户端组件以及 NPS 进行部署。使用 DHCP 强制,DHCP 服务器和 NPS 可以在计算机尝试租用或续订 IP 版本 4 (IPv4) 地址时强制实施健康策略。NPS 服务器通过指导 DHCP 服务器指定一个受限制的 IP 地址配置,将客户端的网络访问局限于受限网络。但如果客户端计算机已配置有一个静态 IP 地址,或配置为避免使用受限制的 IP 地址配置,则 DHCP 强制无效。
TS 网关的 NAP 强制TS 网关的 NAP 强制通过 TS
网关强制服务器组件和 TS 网关强制客户端组件进行部署。使用 TS 网关的 NAP 强制,TS 网关服务器可以对尝试通过 TS 网关服务器连接内部企业资源的客户端计算机强制实施健康策略。TS 网关强制为通过 TS 网关服务器访问网络的所有计算机提供强有力的受限访问。
组合方法每一种 NAP 强制方法都有各自不同的优势。通过组合强制方法,您可以将这些不同方法的优势组合在一起。但是,部署多种 NAP 强制方法会使 NAP 实现更难管理。
NAP 框架还提供了一套 API,它允许除 Microsoft 之外的公司将其软件集成到 NAP 平台中。通过使用 NAP API,软件开发人员和供应商可以提供端对端解决方案,用以验证健康并更新不符合要求的客户端。
准备工作
部署 NAP 所需的准备工作取决于您所选择的强制方法,以及当客户端计算机连接到网络或在网络上通信时要强制实施的健康要求。
如果您是网络或系统管理员,则可以使用 Windows 安全健康代理和 Windows 安全健康验证程序部署 NAP。还可以咨询其他软件供应商,看他们是否为其产品提供 SHA 和 SHV。例如,如果防病毒软件供应商想创建一个包含自定义 SHA 和 SHV 的 NAP 解决方案,则他们可以使用 API 集来创建这些组件。然后可以将这些组件集成到其客户部署的 NAP 解决方案中。
当客户端计算机尝试连接到网络或在网络上通信时,除了 SHA 和 SHV 之外,NAP 平台还使用多个客户端和服务器端组件来检测和监视客户端计算机的系统健康状态。下图《NAP常用组件》展示了用于部署 NAP 的一些常用组件:
客户端
支持 NAP 的客户端是一台安装了 NAP 组件且可以通过向 NPS 发送健康声明 (SoH) 来验证其健康状态的计算机。下面是常用的 NAP 客户端组件。
系统健康代理 (SHA)。监视和报告客户端计算机的健康状况,以便 NPS 可以确定由 SHA 监视的设置是否最新以及是否经过正确配置。例如,Windows 系统健康代理 (WSHA) 可以监视 Windows
防火墙,检查防病毒软件是否已安装、启用和更新,
反间谍软件是否已安装、启用和更新,以及 Microsoft Update Services 是否已启用,计算机是否拥有其最新的安全更新。还可能有来自其他公司提供其他功能的 SHA。
NAP 代理。收集和管理健康信息。NAP 代理还处理来自 SHA 的 SoH,并向已安装的强制客户端报告客户端健康状况。若要指示 NAP 客户端的总体健康状况,NAP 代理应使用系统 SoH。
NAP 强制客户端(NAP EC)。若要使用 NAP,必须在客户端计算机上安装和启用至少一个 NAP 强制客户端。如前所述,各个 NAP 强制客户端都是特定于强制方法的。NAP 强制客户端集成了网络访问技术,如 IPSec、基于 802.1X 端口的有线和无线网络
访问控制、具有路由和
远程访问的 VPN、DHCP 以及 TS 网关。NAP 强制客户端请求访问网络、与 NPS 服务器交流客户端计算机的健康状态,并与 NAP 客户端
体系结构的其他组件交流客户端计算机的受限状态。
健康声明 (SoH)。一种声明其健康状态的来自 SHA 的声明。SHA 创建 SoH 并将其发送给 NAP 代理。
服务器
下面是常用的 NAP 服务器组件。
NAP 健康策略服务器。运行 NPS 的服务器,它充当 NAP 健康评估服务器的角色。NAP 健康策略服务器具有健康策略和网络策略,这些策略为请求网络访问的客户端计算机定义健康要求和强制设置。NAP 健康策略服务器使用 NPS 处理包含 NAP EC 发送的系统 SoH 的 RADIUS 访问请求消息,并将其传递给 NAP 管理服务器进行评估。
NAP 管理服务器。提供一种类似于客户端上的 NAP 代理的处理功能。它负责从 NAP 强制点收集 SoH,将 SoH 分发给相应的系统健康验证程序 (SHV),以及从 SHV 收集 SoH 响应 (SoHR) 并将其传递给 NPS 服务进行评估。
系统健康验证程序 (SHV)。
服务器软件对应于 SHA。客户端上的每个 SHA 在 NPS 中都具有相应的 SHV。SHV 验证客户端计算机上与其对应的 SHA 所创建的 SoH。SHA 和 SHV 相互匹配,并且与相应的健康要求服务器(如果适用)和可能的更新服务器匹配。SHV 还可以检测到尚未接收 SoH(如 SHA 从未安装或者已损坏或删除的情况)。无论 SoH 符合还是不符合定义的策略,SHV 都向 NAP 管理服务器发送健康声明响应 (SoHR) 消息。一个网络可能具有多种 SHV。如果情况如此,则运行 NPS 的服务器必须调整所有 SHV 中的输出,并且确定是否限制不符合要求的计算机的访问。如果您的部署使用多个 SHV,则需要了解它们交互的方式,在配置健康策略时还要进行仔细地计划。
NAP 强制服务器 (NAP ES)。与所使用 NAP 强制方法的相应 NAP EC 相匹配。NAP ES 接收来自 NAP EC 的 SoH 列表,并将其传递给 NPS 进行评估。根据响应,它向支持 NAP 的客户端提供有限制或无限制的网络访问。根据 NAP 强制的类型,NAP ES 可以是 NAP 强制点的一个组件。
NAP 强制点。使用 NAP 或可以与 NAP 结合使用以要求评估 NAP 客户端的健康状况并提供受限网络访问或通信的服务器或网络访问设备。NAP 强制点可以是健康注册机构(IPSec 强制)、
身份验证交换机或无线访问点(802.1x 强制)、运行
路由和
远程访问的服务器(VPN 强制)、DHCP 服务器(DHCP 强制)或 TS 网关服务器(TS 网关强制)。
健康要求服务器。与 SHV 通信以提供评估系统健康要求时使用的信息的
软件组件。例如,健康要求服务器可以是为验证客户端防病毒 SoH 提供当前签名
文件版本的防病毒签名服务器。健康要求服务器与 SHV 相匹配,但并不是所有 SHV 都需要健康要求服务器。例如,SHV 可以只指导支持 NAP 的客户端检查本地系统设置,以确保启用基于主机的防火墙。
更新服务器。承载 SHA 用来使不符合要求的客户端计算机变为符合要求的客户端计算机的更新。例如,更新服务器可以承载软件更新。如果健康策略要求 NAP 客户端安装最新的软件更新,则 NAP EC 将对没有这些更新的客户端的网络访问加以限制。为了使客户端能够获得符合健康策略所需的更新,具有受限网络访问权限的客户端必须可以访问更新服务器。
健康声明响应 (SoHR)。包含客户端 SoH 的 SHV 评估结果。沿 SoH 的路径,将 SoHR 反向发送回客户端计算机 SHA。如果认为客户端计算机不符合要求,则 SoHR 包含更新说明,SHA 会使用该说明更新客户端计算机配置,使其符合健康要求。
就像每种类型的 SoH 都包含有关系统健康状态的信息一样,每个 SoHR 消息都包含有关如何使客户端计算机符合健康要求的信息。